了解 SANtricity 軟體中磁碟區的資料完整性和資料安全性
建議變更
PDF
您可以啟用磁碟區以使用資料保證 (DA) 功能和磁碟機安全功能。這些功能會在儲存池和磁碟區群組層級呈現。
資料保證
Data Assurance (DA) 實現了 T10 Protection Information (PI) 標準,該標準透過檢查和修正資料在 I/O 路徑上傳輸過程中可能出現的錯誤來提高資料完整性。Data Assurance 功能的典型用途是檢查控制器和驅動器之間的 I/O 路徑部分。DA 功能在儲存池和磁碟區組層級提供。
啟用此功能後,儲存陣列會將錯誤校驗碼(也稱為循環冗餘校驗碼或 CRC)附加到磁碟區中的每個資料區塊。資料區塊移動後,儲存陣列會使用這些 CRC 碼來確定傳輸過程中是否發生任何錯誤。可能已損壞的資料既不會寫入磁碟,也不會返回給主機。如果要使用 DA 功能,請在建立新磁碟區時選擇支援 DA 的儲存池或磁碟區組(在儲存池和磁碟區組候選表中尋找「DA」旁的「是」)。
磁碟機安全性
Drive Security 是一項功能,可防止從儲存陣列移除的已啟用安全功能的磁碟機上的資料遭到未經授權的存取。這些磁碟機可以是 Full Disk Encryption(FDE)磁碟機,也可以是符合 Federal Information Processing Standards 140-2 level 2(FIPS 磁碟機)認證的磁碟機。
Drive Security 在磁碟機層級的運作方式
具備安全功能的磁碟機,無論是 FDE 或 FIPS,都會在寫入時加密資料,並在讀取時解密資料。此加密和解密不會影響效能或使用者工作流程。每個磁碟機都有自己的唯一加密金鑰,該金鑰永遠無法從磁碟機傳輸出去。
磁碟機安全性在磁碟區層級的運作方式
當您從支援安全功能的磁碟機建立儲存池或磁碟區群組時,也可以為這些儲存池或磁碟區群組啟用 Drive Security。Drive Security 選項會將磁碟機及其關聯的磁碟區群組和儲存池設定為安全_啟用_。儲存池或磁碟區群組可以包含支援安全功能的磁碟機和不支援安全功能的磁碟機,但所有磁碟機都必須支援安全功能才能使用其加密功能。
如何實作 Drive Security
若要實施 Drive Security,請執行下列步驟。
-
為您的儲存陣列配備具備安全功能的硬碟,可以是 FDE 硬碟或 FIPS 硬碟。(對於需要 FIPS 支援的磁碟區,請僅使用 FIPS 硬碟。在磁碟區群組或儲存池中混合使用 FIPS 和 FDE 硬碟會導致所有硬碟都視為 FDE 硬碟。此外,FDE 硬碟無法新增至全部為 FIPS 硬碟的磁碟區群組或儲存池中,也不能用作備用硬碟。)
-
建立安全金鑰,這是控制器和磁碟機共用以進行讀取/寫入存取的字元字串。您可以從控制器的持續性記憶體建立內部金鑰,也可以從金鑰管理伺服器建立外部金鑰。對於外部金鑰管理,必須與金鑰管理伺服器建立驗證。
-
為儲存池和磁碟區群組啟用磁碟機安全性:
-
建立池或磁碟區群組(在「候選對象」表格的 Secure-capable 欄中尋找 Yes )。
-
建立新磁碟區時、請選取資源池或磁碟區群組(在資源池和磁碟區群組候選表中、尋找 Secure-capable 旁的 Yes )。
透過 Drive Security 功能,您可以建立安全金鑰,該金鑰在儲存陣列中啟用安全功能的磁碟機和控制器之間共用。每次磁碟機斷電重新啟動後,啟用安全功能的磁碟機都會進入 Security Locked 狀態,直到控制器套用安全金鑰為止。
-